[LUGargano] [Quasi Risolto] Problemone con squid (lungo).

[Pietro Tamburrano]

Il giorno ven, 06/03/2009 alle 11.14 +0100, Alessandro Rendina ha
scritto:
> L'unica cosa che mi viene in mente è che potrebbe essere messa sul server come 
> bridge insieme alla 192.168.0.1. 
> E poi al bridge siano stati assegnati due indirizzi ip.
> 
> Ma vediamo di fare il riassunto delle puntate precedenti per fare qualche 
> altra ipotesi.
> 
> Dati:
> Hai un server che da una scheda di rete serve una LAN da un'altra scheda di 
> rete serve una rete wifi e da un'altra scheda di rete accede ad internet. E' 
> corretto?

Esatto.

> 
> Problema:
> un computer linux all'interno della rete locale rileva una modifica della 
> arp-cache sbagliata, nel dettaglio all'indirizzo 192.168.0.1 viene assegnato 
> un MAC address che corrisponde a quello della scheda di rete 192.168.4.1 che 
> corrisponde al gw della rete wifi e che è sullo stesso server.
> 

Perfetto.

> Riflessioni:
> Possiamo affermare che esiste all'interno della rete un computer che comunica 
> (in modo intenzionale o meno) alla tabella arp una assegnazione di indirizzo 
> mac all'indirizzo logico sbagliato.
> Questo si chiama arp poisoning  o anche arp-spoofing.
> Se è intenzionale vuol dire che c'è qualcuno che sta cercando di fare sniffing 
> sulla rete per reperire eventuali password.
> 

Poco probabile.

> Se non è intenzionale potrebbe voler dire che il netmask della rete 
> 192.168.4.1 è 255.255.255.0 e quindi  è la seconda  scheda che invade lo 
> spazio intergalattico della prima.

Questa è una cosa che non ho preso in considerazione. devo chiedere
all'amministratore di rete di verificare il netmask usato per la scheda
incriminata. Io davo per scontato che fosse 255.255.252.0. 

> Io penso che non sia intenzionale e che ci sia qualche dettaglio subdolo in 
> qualche configurazione, perchè per fare una cosa del genere ci vuole una 
> buona competenza, però veniamo al caso intenzionale perchè lo trovo 
> interessante.
> 
> Non so sotto windows, ma sotto linux esiste un software che si chiama ettercap 
> che permette di inviare ad un computer dati di tipo arp assegnando un 
> indirizzo logico ad un mac address. Quindi se io volessi prendere le password 
> che passano in un computer cosa farei?
> 
> primo: avvio qualcosa che si chiama wireshark e comincio a monitorare la 
> rete(sniffing). Scopro che non mi passa davanti niente perchè non ci sono hub 
> (che mandano i dati in broadcast su tutte le porte) ma switch (che 
> ottimizzano il flusso e hanno una tabella che gli indica su quale porta si 
> trova il mac-address tal dei tali). 
> 
> secondo: a questo punto ho bisogno di sostituirmi ad un gateway in modo che 
> qualcuno mi manda i dati io faccio sniffing così se passa qualche password in 
> chiaro (le email e le loro password o password di siti passano quasi tutti in 
> chiaro), probabilmente anche la password per superare ipcop.
> 
> terzo: avveleno la tabella arp sostituendo il mio mac-address a quello 
> originale sull'indirizzo logico.
> 
> Questa è la tecnica, però qui noi non abbiamo l'indirizzo del colpevole 
> abbiamo stranamente l'indirizzo della scheda di rete che apre alla rete wifi. 
> e qui si blocca il mio intelletto! :)
> Allora due ipotesi:
> a) chi sta facendo esperimenti ha cambiato l'indirizzo  mac-address del suo 
> computer con quello della scheda di rete del server per non essere scoperto e 
> in questo modo man mano che lo switch cerca il mac-address assegnato 
> all'indirizzo logico bussa anche da lui.
>  
> b) chi sta facendo esperimenti ha avuto paura e ha provato con 
> quell'indirizzo.
> 
> Naturalmente non penso che a SGR ci sia gente così preparata. I ragazzi 
> preferiscono alla playstation o a pallone. Però penso che lo spunto è 
> interessante anche per capire meglio questi meccanismi.
> 

In effetti l'ipotesi è interessante ma sono d'accordo soprattutto sulle
playstation e ilpallone.
La soluzione sembra molto più banale: una configurazione della rete non
perfetta.

Ciao.